La gestion des risques au service du pilotage de l’entreprise

En effet, dès la création de son entreprise, l’entrepreneur est constamment confronté de manière consciente ou inconsciente à des prises de décisions qui intègrent nécessairement l’évaluation des risques propres à la situation dans laquelle il évolue. Cette démarche, même intuitive, permet de faire des choix en toute connaissance de cause, de saisir les opportunités et se démarquer de la concurrence. De plus en plus, identifier, traiter et maîtriser les risques deviennent des activités obligatoires pour toutes les entreprises en réponse aux autorités comme aux parties prenantes (assureurs, etc.) et pour saisir les opportunités face aux concurrents. Dès son premier salarié, chaque dirigeant doit élaborer un document unique. Pour ce faire, il peut s’inscrire soit dans une démarche de conformité pure, soit dans une démarche de prévention. Voici une obligation qui peut être transformée en opportunité pour tout manager : s’inscrire dans une démarche de prévention pérenne. La conduite d’une appréciation des risques est une bonne démarche. Mais comment s’y prendre ?

Faire le choix de la sécurité de l’information est un bon angle d’attaque. L’information, notion qui se définit dans le domaine comme un élément qui a de la valeur pour l’entreprise, peut se matérialiser en donnée par exemple, ou rester dans le domaine de l’immatériel comme le processus.  La donnée est donc omniprésente dans l’entreprise et n’est pas cantonnée à l’information. Par exemple : une idée dans la tête d’une personne pourra être une information ! Autre avantage, la sécurité de l’information s’est dotée d’outils, de méthodes et de référentiels qui peuvent aider chaque dirigeant ou manager dans cette tâche. Mais avant tout, le pragmatisme sera fort utile à chacun.

Les référentiels, que ce soit l’ISO, Ebios ou ceux d’autres secteurs, abordent le sujet de manière très théorique et séquentielle. L’ISO (ISO 27005 et ISO 31000) a apporté, par la dimension itérative, une souplesse. Cependant, cela n’est pas suffisant. Le processus de gestion des risques reste, à première lecture, rigide et complexe. Dans un tel processus, le pragmatisme devrait primer. Le processus n’est qu’un support pour conforter ou infirmer une intuition. Pour survivre et évoluer nos ancêtres ont dû constamment procéder à des analyses de risques en temps réels afin de trouver les voies les plus sures… L’analyse de risque est donc ancrée en nous et c’est une activité naturelle. Le processus ne doit donc être qu’une façon de formaliser et rendre répétable cette activité hautement complexe quand elle prend en compte de nombreux paramètres (dont quelques-uns sont incertains ou non mesurables).

Le processus établit doit refléter notre mode de pensée en scénario et apporter une dimension objective. En pratique, commencez par coucher sur papier vos craintes en répondant aux questions suivantes : quels évènements sont susceptibles d’affecter mon entreprise et l’empêcher d’atteindre ses objectifs ou remplir sa mission ? Face à quels événements, nous ne sommes pas prêts ? Pour quels incidents sommes-nous préparés ?

Ensuite, sélectionnez les réponses en vous concentrant sur ce qui a de la valeur pour votre entreprise. Identifiez, en quoi, cette valeur a de l’importance pour votre organisme ou votre activité. La valeur peut revêtir plusieurs formes. Ce peut être un fichier, un procédé, une personne clé, un savoir-faire, etc. Les questions suivantes peuvent vous aider : Comment peut-elle servir à autrui ? Ou encore : quelles seraient les conséquences pour mon entreprise et/ou l’activité si cet « objet » était perdu ? Si une donnée devenait inaccessible ? A ce stade, vous venez d’identifier des scénarios de risques, un ou plusieurs actifs (pour reprendre la terminologie de l’ISO) voire des conséquences, des vulnérabilités et des menaces.

Enfin, la théorie entre en jeu ! Elle permet d’objectiver les risques identifiés par l’apport d’éléments factuels (tels que la fréquence d’apparition dans le passé, une attaque subit par un concurrent direct…) et, lorsque cela s’applique, des métriques – le coût de l’évènement, les pertes en chiffre d’affaires imputées à l’évènement, etc. Les chiffres sont rassurants et crédibilisent les résultats. L’important est de choisir des valeurs qui sont partagées par l’entreprise et qui sont maintenables dans le temps. A ce stade, la gestion des risques devient un véritable outil d’aide à la décision.

A la prochaine itération, vous pourrez alors comparer vos résultats et montrer que les actions conduites ont été efficaces. De ces éléments vous pourrez, identifier de nouvelles problématiques et de nouveaux projets pour améliorer la maîtrise de vos activités et plus généralement de l’entreprise. Progressivement, vous obtiendrez une cartographie des risques de plus en plus fine et précise. Ces résultats pourront être employés à différents desseins tels que la négociation avec vos assureurs, le pilotage de vos équipes, l’obtention de nouveaux budgets, la définition de nouvelles offres, etc.

Cette attitude positive face aux risques à opposer à une attitude de déni, sera l’outil incontournable de pilotage de votre entreprise ou d’une activité. Vous pourrez prendre les décisions en connaissance de cause et saisir les opportunités.